Firewall - nie udostępnia internetu


(did you) #1

Witam,

Czy moglibyście sprawdzić czy ta konfiguracja firewalla jest poprawnie napisana?

#!/bin/sh



#Wlaczenie w kernelu forwardowania

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward



#Czyszczenie starych regul

iptables -F

iptables -t nat -F

iptables -t mangle -F

iptables -X

iptables -t nat -X

iptables -t mangle -X



#Domyslne reguly

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP



#Oblokowanie petli zwrotnej

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A FORWARD -o lo -j ACCEPT



#Swobodne działanie sieci lokalnej

ipatbles -A INPUT -i br0 -j ACCEPT

iptables -A OUTPUT -o br0 -j ACCEPT

iptables -A FORWARD -o br0 -j ACCEPT



#Udostępnianie internetu sieci lokalnej 

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

Wydruk funkcji iptables-save(wydruk brałem z maszyny wirtualnej, z tą różnicą, że zamiast br0 mamy eth1)

# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013

*mangle

:PREROUTING ACCEPT [0]

:INPUT ACCEPT [0]

:FORWARD ACCEPT [0]

:OUTPUT ACCEPT [0]

:POSTROUTING ACCEPT [0]

COMMIT

# Completed on Tue Aug 27 18:02:36 2013

# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013

*nat

:PREROUTING ACCEPT [0]

:INPUT ACCEPT [0]

:OUTPUT ACCEPT [0]

:POSTROUTING ACCEPT [0]

-A POSTROUTING -o eth1 -j MASQUERADE

COMMIT

# Completed on Tue Aug 27 18:02:36 2013

# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013

*filter

:INPUT DROP [0]

:FORWARD DROP [0]

:OUTPUT DROP [0]

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth1 -j ACCEPT

-A FORWARD -o lo -j ACCEPT

-A FORWARD -o eth1 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -o eth1 -j ACCEPT

COMMIT

# Completed on Tue Aug 27 18:02:36 2013

W moim komputerze mam zainstalowane trzy fizyczne interfejsy:

-eth0

-erh1

-wlan0.

eth0 ma dostęp do sieci globalnej(przydzielane przez ISP dynamicznie), eth1 i wlan0 są zmostkowane i tworzą nowy interfejs br0 (LAN). Na komputerze działa serwer DHCP oraz serwer Samby.

Wracając do konfiguracji firewalla, komputery widzą siebie nawzajem, pingi lecą we wszystkie strony, działa przydzielanie adresów IP, Samba działa, serwer odrzuca wszystkie pakiety nie pochodzące z lo i br0. System Debian 7.1

Za każdą sugestię-Dziękuję,

Pozdrawiam, Patryk.


(roobal) #2

Skoro dajesz politykę na DROP, to musisz zezwolić na połączenia nawiązane oraz na połączenia inicjujące. Powinno to wyglądać tak, na przykładzie moich reguł w moim systemie.

Brakuje Ci reguł zaznaczonych na niebiesko. Dopisz jeszcze reguły dla sieci, dla łańcuch przychodzącego oraz łańcucha przekazania (forward) zezwalające na ruch z sieci, które będą przesyłały do niego pakiety, podobnie jak to zaznaczyłem na pomarańczowo.

Przekazywanie pakietów możesz włączyć na stałe w /etc/sysctl.conf.

Teraz akurat muszę wyjść z domu, więc nie mam za bardzo czasu, popraw reguły, a jutro je sprawdzę.

EDIT: Zapomniałem, że już masz reguły zezwalające na ruch przychodzący i przekazywany, w takim razie dodaj jeszcze reguły zaznaczone na niebiesko i powinno działać. Upewnij się również, że masz trasy do wszystkich sieci.


(did you) #3

hmmm, jeśli zastosuję powyższą regułę, to internet będzie działać na komputerze udostępniającym, a w sieci lokalnej wciąż nie działa.

edit.

Internet działa, błędem a raczej nie dopatrzeniem okazało się brak jednego adresu DNS.

Dziękuję za okazaną pomoc :slight_smile: